日本經產省公布AI、資料利用契約指引

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 在2024年11月11日至22日舉辦第29屆聯合國氣候變化大會（COP29）上，國際標準化組織（ISO）發佈全球第一部ESG國際標準：ISO ESG IWA 48《實施環境、社會和治理（ESG）原則框架》（Framework for implementing environmental, social and governance (ESG) principles）（簡稱為IWA 48:2024），為全球各地區、不同規模的企業提供統一管理標準，同時提供實施指引和行動範例，應對永續發展挑戰。 IWA 48有以下幾大重點： 1. ESG原則和實踐（Principles and practices in ESG）：強調誠信、成效、公平、風險與機會、證據、持續改善等原則。 1.1風險與機會：風險跟機會應由高階管理階層從組織整體評估，因風險可能同時伴隨機會；同時，管理層面要運用科學方法及可靠數據紀錄，評估與建立行動方案與追蹤管控。 1.2負責及公開透明：在ESG原則為關鍵要素，清楚揭露經營績效和永續資訊，不僅可增強利害關係人信心，也有助於保護組織商譽。 1.3利害關係人參與：組織應重視內、外部利害關係人的意見，如員工、股東、客戶、供應商等；舉例來說，組織落實資訊公開，並藉由問卷或會議形式，請利害關係人回饋期望或意見。 1.4重大主題：組織評估內外部之營運狀況所可能遭遇挑戰，且考量利害關係人回饋、產業特性，進而辨識各項議題之衝擊程度與關聯性，及排定優先順序來制訂行動方案。 1.5關鍵績效指標（KPI）評估：針對各項重大主題依可靠數據紀錄，進而運用量化或質化手段，設定短期、中期和長期之具體目標。 2. 環境（Environmental）：評估組織營運活動與環境變化之相互關係，因此須要根據科學方法建立基準與制訂目標，確保營運過程能有效執行策略。 3. 社會(Social)：主要關注組織如何承擔社會責任，推動具有社會價值行為和政策，除遵循當地勞動法令外，可額外提供福利或照顧措施，如組織接納各國人民，公平方式進行面試，培訓應保障不會發生任何歧視情事。 4. 治理（Governance）：董事會或管理階層要明確公告組織永續政策與要求，並建立道德規範，如誠信經營，法令遵循、風險管理等，尤其鑑別永續相關風險，如當地法令異動、環境變化，更要與利害關係人保持溝通與合作，進而評估組織政策與執行方向，再依據營運需求調整。 5. 合規性和一致性（Compliance and conformity）：組織可採用第三方查（驗）證方式，協助組織評估有無符合當地法令、達到ESG要求標準，及組織對於ESG之承諾。 6. 報告（Reporting）：組織可公開揭露永續資訊，如永續報告書或年報等；再者，組織應確保揭露內容之準確、清楚與可靠，並正面及負面資訊均清楚完整揭露，以讓利害關係人了解狀況與趨勢。 7. 持續改善（Continual improvement）：透過關鍵績效指標（KPI）檢核，定期確認組織達成永續目標狀況，如有未達預期情事者，應落實根因分析、制訂矯正預防措施，並予以揭露與執行改善，以確保能達到長期目標。

法國國家資訊自由委員會（CNIL）於2023年10月16日至11月16日進行「人工智慧操作指引」（AI how-to sheets）（下稱本指引）公眾諮詢，並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則（GDPR）之作法，以期在支持人工智慧專業人士創新之外，同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下： 1.指引涵蓋範圍：本指引限於AI開發階段（development phase），不包含應用階段（deployment phase）。開發階段進一步可分為三階段，包括AI系統設計、資料蒐集與資料庫建立，以及AI系統學習與訓練。 2.法律適用：當資料處理過程中包含個人資料時，人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的：CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則，由於資料應該是基於特定且合法的目的而蒐集的，因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何，方能決定GDPR與其他原則之適用。 4.系統提供者的身分：可能會是GDPR中的為資料控管者（data controller）、共同控管者（joint controller）以及資料處理者（data processor）。 5.確保資料處理之合法性：建立AI系統的組織使用的資料集若包含個人資料，必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估（DIPA）。 7.在系統設計時將資料保護納入考慮：包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護：具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的，以及設定明確的資料保留期限，實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說，更新AI相關規範知識非常重要，CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。

　　美國專利商標局（簡稱USPTO）公告新商標規定於8月3日生效，國外申請人、註冊人及商標訴願暨上訴委員會（TTAB）程序的當事人均須透過合法美國執業律師代理其商標業務，包含：向USPTO提出商標申請註冊、商標糾紛。此要求適用於所有商標申請人、註冊人和永久合法居住地或是主要業務所在地於美國境外的當事人。 　　近期，USPTO發現愈來愈多的國外申請人、註冊人和當事人向USPTO提交不正確或有詐欺嫌疑的文件，其不符合美國商標相關法規或USPTO規則。此次新規定目的在於： 加強外國人遵守美國商標相關法規。 改善向USPTO提出商標案的正確性。 維護美國商標註冊的完整性。 　　數十年來，全球許多其他國家都有須透過當地律師代理執行業務的相關要求。USPTO局長Andrei Iancu表示：「企業靠著USPTO的商標註冊，決定品牌的重要法律決策，為了確保商標註冊的正確、完整性與公眾利益，USPTO必須要有適當的規定來強制所有申請人和註冊人遵守規定。」；USPTO商標專員Mary Boney Denison亦表示：「相信新規定將有助於提高外國人向USPTO提交的文件品質。」 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

中國大陸國家互聯網信息辦公室、國家市場監督管理總局於2025年10月17日聯合發布《個人信息出境認證辦法（下稱認證辦法）》，並將於2026年1月1日施行。中國大陸所稱之認證即為臺灣所稱之驗證，屬兩岸詞語使用之差異，容易產生混淆誤認先予敘明，下將以臺灣慣用之驗證一詞說明。 依照《中華人民共和國個人信息保護法》第38條須向境外提供個人資料方法有四種：分別為1.透過國家網信部門組織的安全評估、2.經專業機構進行個人資料保護驗證、3.依照國家網信部門制定的標準化契約與境外接受者訂定契約，以約定雙方之權利義務、4.法律、行政法規、國家網信部門所規定之其他條件。而認證辦法係依據第二種方法所訂，主要規範：1.處理者資格限制、2.傳輸資料數量、3.影響評估內容、4.驗證機構申請資料與報告義務、5.對驗證機構之監督。 處理者資格限制與傳輸資料數量方面，認證辦法規定向境外提供個人資料：1.不可為關鍵信息基礎設施營運者、2.向境外提供的個人資料須為10萬人以上未滿100萬人之個人資料或未滿1萬人之敏感個人資料（須注意，中國大陸之敏感個人資料包含：生物識別、宗教信仰、特定身分、醫療健康、金融帳戶、行蹤軌跡等資料，以及不滿14週歲未成年人的個人資料，故與臺灣個資法第6條之特種個資並不一致）。且認證辦法規定不得對個人資料的數量為拆分，意即如將資料數量拆成數筆10萬人以下，藉以規避認證辦法資料數量10萬人以上的境外傳輸申請限制並不合法。 除依法應履行的告知外，向境外傳輸前應取得當事人的單獨同意，並採取個資影響評估，影響評估之內容須包含：1.處理者與境外接收者處理個資的特定目的、範圍、方式、2.個資出境的風險、3.境外接收者的個資保護能力與義務、4. 提供事故通報管道、5.境外國家或地區的政策、法規影響。 最後，認證辦法應較注意的是驗證機構的報告義務與受檢義務的明確立法，使得除藉由驗證機構對個人資料處理者的審查確保個人資料國際傳輸的安全外，再透過政府機關對於驗證機構的檢查，以確保監管個人資料跨境傳輸，亦屬於我國政府機關可以參考之個人資料國際傳輸監管面向。